Anzeige

Security Baum

PKI-Administratoren stehen durch die zunehmende Notwendigkeit mehr Netzwerkverkehr zu verschlüsseln unter starkem Druck die Sicherheit zu verbessern. In den meisten Unternehmen verwalten sehr kleine PKI-Experten-Teams Tausende von TLS-Schlüsseln und -Zertifikaten, sogenannte Maschinenidentitäten. 

Kleine Fehler können verheerende Folgen haben. Die richtige Technologie ist deshalb notwendig, um Änderungen, die sich auf kritische Sicherheitsressourcen auswirken, von Administratoren nachvollziehbar zu machen.

„Sie können sich nicht in der Cloud bewegen, Kubernetes nutzen, IoT-Netzwerke und mehr bereitstellen, ohne PKI zu verwenden; für die meisten IT-Profis sind Maschinenidentitäten jedoch eine dunkle Kunst mit wenigen Meistern“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „CISOs können IAM-Programme nicht dem Zufall überlassen, daher muss PKI sicher betrieben werden. Letztendlich sollte PKI die Grundlage für robuste Programme zum Schutz der Maschinenidentität bilden; Unternehmen nutzen sie, um den Datenfluss zu vertrauenswürdigen Maschinen zu identifizieren und zu autorisieren.“

Laut Bocek gibt es vier häufige Fehler, die Unternehmen machen und damit Sicherheitsrisiken erhöhen oder die Zuverlässigkeit sowie Verfügbarkeit geschäftskritischer Netzwerkressourcen negativ beeinflussen. Zu diesen gehören:

 1. Unternehmen sollten interne und mittlere private Zertifizierungsstellen vergessen.

Wenn die Root-Signatur der Zwischenzertifizierungsstelle (CA) eines Unternehmens aus irgendeinem Grund offline geht, müssen Administratoren wissen, wo sie sich befindet. Es gibt Fälle, in denen Unternehmen eine Root-CA auf einer virtuellen Maschine eingerichtet haben und diese dann in den Ruhezustand versetzen konnten. Wenn IT-Ops-Teams die ruhenden virtuellen Maschinen aufräumen, deaktivieren sie versehentlich die gesamte PKI. Dies ist der Fall, da sie die virtuelle Maschine löschen, in der sich die vergessene Root- oder Zwischen-CA befand. Ohne die richtige Technologie könnte es Monate dauern, bis dieser Fehler behoben ist.

 2. Nicht-Erlöschen von Zertifikaten und Entfernen von Schlüsseln

Anwendungseigner und Systemadministratoren, die nicht mit Zertifikaten arbeiten, versuchen häufig, solche an der falschen Stelle zu installieren, Fehler in Anfragen zu machen oder zu vergessen und nicht benötigte oder nicht verwendete Zertifikate zu entfernen. Diese unnötigen Zertifikate dürfen nicht widerrufen werden und die entsprechenden Schlüssel werden nie entfernt. In einigen Unternehmen sind Tausende von unnötigen Maschinenidentitäten auf Hunderten von Servern verstreut. Dies bietet schlechten Akteuren viele Möglichkeiten, die legitimen Zertifikate zu finden und zu missbrauchen.

3. Kontinuierliche Verlängerung der Gültigkeitsdauer von Zertifikaten

Die manuelle Verwaltung von Zertifikaten kann sowohl zeit- als auch ressourcenintensiv sein, insbesondere wenn Unternehmen Tabellenkalkulationen, interne Skripte oder CA-Dashboards mit eingeschränkter Funktionalität verwenden. Es kann verlockend sein, dieses Problem durch eine Verlängerung der Gültigkeitsdauer von Zertifikaten zu reduzieren. Die Technik kann Unternehmen zwar kurzfristig einige Zeit sparen, erhöht aber auch das Sicherheitsrisiko in erheblich. Eine längere Zertifikats-Lebensdauer gibt Angreifern mehr Zeit, die privaten Schlüssel ins Visier zu nehmen.

4. Keine Verfolgung von Wildcard-Zertifikaten

Wildcart-Zertifikate sind so einfach zu verwenden, dass sie oft wahllos eingesetzt werden; viele Unternehmen verfolgen sie nicht einmal. Wenn PKI-Administratoren nicht wissen, auf welchen Rechnern Wildcard-Zertifikate verwendet werden, ist es fast unmöglich, jede Instanz zu erneuern, bevor sie abläuft. Wenn dies geschieht hört jede Maschine, auf der sie installiert wurde, gleichzeitig auf zu kommunizieren. Diese Eventualität kann den Betrieb stören und erfordert umfangreiche Ressourcen, um jede Installation zu verfolgen und neue Zertifikate neu zu installieren.

„Es ist allzu einfach, häufige PKI-Fehler zu machen, die schwerwiegende Folgen für Unternehmen haben können“, schließt Bocek ab. „Indem sie einige der Dinge hervorheben, die schrecklich schief gehen können, können mehr PKI-Administratoren die oben beschriebenen Alpträume vermeiden. Der beste Weg, alle größeren Fehler bei PKI zu beseitigen, ist der Aufbau eines Programms zum Schutz der Maschinenidentität. Es sollte Transparenz, Intelligenz und Automatisierung bieten, um Sicherheitsrisiken zu reduzieren und die Zuverlässigkeit und Verfügbarkeit zu erhöhen.“

www.venafi.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

E-Mail Angst

Die fünf schlimmsten Fehler bei der E-Mail-Kommunikation

Angesichts steigender Corona-Fallzahlen ist eine „zweite Welle“ im Herbst ein wahrscheinliches Szenario. Ungewiss ist noch, welche Maßnahmen dieses Mal zur Eindämmung ergriffen werden. Die erste Lockdown-Phase hat gezeigt, dass für Unternehmen eine effiziente…
Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.
Mobile Access

Mobile Access liegt im Trend

In der physischen Zutrittskontrolle werden zunehmend mobile Geräte eingesetzt. So lautet ein zentrales Ergebnis einer Untersuchung von HID Global. Für über die Hälfte der Befragten sind Mobile Access und mobile Apps die Top-Trends in der Zutrittskontrolle.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!